revDSG / FADP-Compliance-Software für Schweizer Unternehmen
Das revidierte Schweizer Datenschutzgesetz (revDSG / FADP / LPD) ist in Kraft. ComplyOne ist die einzige EU-Compliance-Plattform, die in der Schweiz gehostet wird — speziell für Schweizer KMU, die sowohl revDSG als auch DSGVO erfüllen müssen.
Ihre Daten bleiben in der Schweiz
Die Infrastruktur von ComplyOne wird in Schweizer Rechenzentren betrieben — nicht auf US-Cloud-Plattformen, die dem CLOUD Act unterliegen. Das ist relevant für revDSG-Compliance: grenzüberschreitende Datenübermittlungen in Drittländer benötigen geeignete Garantien. Mit unserem Schweizer Hosting brauchen Sie für innerhalb ComplyOne verarbeitete Daten keinen zusätzlichen Übermittlungsmechanismus.
Was das revDSG verlangt
Datenschutzhinweise
Betroffene Personen müssen über die Datenerhebung informiert werden — Zweck, Rechtsgrundlage und Empfänger. revDSG-Hinweise müssen Schweizer Recht entsprechen, keine reinen DSGVO-Kopien.
Meldung von Verletzungen
Datenschutzverletzungen mit hohem Risiko müssen dem EDÖB so rasch wie möglich gemeldet werden. Anders als bei der DSGVO gibt es keine 72-Stunden-Frist — Verzögerungen sind dennoch nicht zu empfehlen.
Rechte betroffener Personen
Auskunfts-, Berichtigungs-, Lösch- und Widerspruchsrecht. Schweizer Einwohner können jederzeit ihre Daten anfordern. Sie brauchen Prozesse, um innerhalb von 30 Tagen zu antworten.
Datenschutz-Folgenabschätzung
Erforderlich, bevor eine Bearbeitung zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte führen könnte — ähnlich der DSGVO-DSFA.
Profiling-Regeln
Das revDSG enthält spezifische Regeln für Profiling — insbesondere Profiling mit hohem Risiko, das ausdrückliche Einwilligung erfordert. In manchen Punkten strenger als die DSGVO.
Grenzüberschreitende Übermittlungen
Übermittlungen in Länder ohne angemessenes Schutzniveau erfordern zusätzliche Garantien (SCCs oder Gleichwertiges). Die Schweiz pflegt eine eigene Angemessenheitsliste, die sich von der EU-Liste unterscheidet.
Das revDSG zielt auf Personen, nicht auf Unternehmen
Anders als bei der DSGVO, die Bußgelder gegen Organisationen verhängt, sieht das revDSG Strafen von bis zu 250.000 CHF gegen verantwortliche Personen vor — einschließlich Geschäftsführer, Führungskräfte und Mitarbeitender, die das Gesetz vorsätzlich verletzen.
Persönliche Haftung ist real. Tritt aufgrund von Nachlässigkeit eine Datenschutzverletzung ein und ist die verantwortliche Person identifiziert, drohen ihr — nicht nur dem Unternehmen — Strafverfolgung und Bußgeld.
ComplyOne weist Compliance-Aufgaben konkreten Teammitgliedern zu und schafft so einen klaren Audit-Trail, der Sorgfalt dokumentiert.
revDSG-Compliance praktisch angehen: erste Schritte
Die meisten Schweizer Unternehmen erreichen in 6–10 Wochen eine solide revDSG-Basis, wenn sie strukturiert vorgehen.
Anwendungsbereich klären
Das revDSG gilt für jedes Unternehmen, das Personendaten von in der Schweiz aufhältigen Personen bearbeitet — unabhängig vom Sitz des Unternehmens. Wenn Sie Schweizer Kunden, Mitarbeitende oder Geschäftspartner haben, sind Sie mit hoher Wahrscheinlichkeit erfasst.
Dateninventar erstellen
Erfassen Sie jede Kategorie von Personendaten: welche Daten, wo gespeichert, wer Zugriff hat und wie lange aufbewahrt. Das revDSG verlangt für bestimmte risikoreiche Tätigkeiten ein Bearbeitungsverzeichnis — auch wenn nicht formal für alle Unternehmen vorgeschrieben, ist es zentral, um Compliance nachzuweisen.
Datenschutzhinweise aktualisieren
revDSG-konforme Datenschutzhinweise informieren betroffene Personen über Datenerhebung, Zweck, Rechtsgrundlage und internationale Übermittlungen. DSGVO-Hinweise sind nicht automatisch ausreichend — Schweizer Anforderungen gelten, einschließlich der Rechtsgrundlage nach Schweizer Recht und Hinweisen zum EDÖB als Aufsichtsbehörde.
Prozess für Datenschutzverletzungen vorbereiten
Bei einer Datenschutzverletzung mit hohem Risiko müssen Sie den EDÖB so rasch wie möglich benachrichtigen. Bauen Sie ein internes Incident-Response-Verfahren auf, bevor Sie es brauchen — wer entscheidet über Meldepflicht, wie wird der EDÖB benachrichtigt und wie werden Betroffene informiert.
Persönliche Verantwortlichkeit zuweisen
Das revDSG zielt mit Bußgeldern bis 250.000 CHF auf verantwortliche Personen — nicht nur auf das Unternehmen. Dokumentieren Sie klar, wer für welche Datenschutzentscheidung verantwortlich ist. Erwägen Sie die Bestellung einer Datenschutzberaterin/eines Datenschutzberaters (freiwillig, aber dringend empfohlen) und halten Sie zentrale Entscheidungen für den Audit-Trail fest.
Sind Sie revDSG-konform?
Kostenloser Compliance-Check für Schweizer Unternehmen. revDSG- und DSGVO-Lücken in 5 Minuten gegenüberstellen.
Kostenlosen revDSG-Check startenrevDSG / FADP — FAQ
Was ist das revDSG (FADP)?
Das revidierte Datenschutzgesetz (revDSG / FADP / LPD) ist das Schweizer Datenschutzrecht, revidiert und seit dem 1. September 2023 in Kraft. Es modernisiert das Schweizer Datenschutzrecht und gleicht es an DSGVO-Prinzipien an, behält aber Schweizer Besonderheiten bei — insbesondere richten sich Bußgelder gegen Personen, nicht Organisationen.
Gilt das revDSG für mein Unternehmen?
Das revDSG gilt für jede Privatperson oder jedes Unternehmen, das Personendaten von in der Schweiz aufhältigen Personen bearbeitet — unabhängig vom Sitz des Unternehmens. Wenn Sie Daten Schweizer Einwohner verarbeiten, müssen Sie es einhalten.
Welche Bußgelder drohen bei revDSG-Verstößen?
Bis zu 250.000 CHF pro verantwortliche Person (nicht Unternehmen). Das ist ein zentraler Unterschied zur DSGVO: Das revDSG zielt auf verantwortliche Personen — Führungskräfte, Datenschutzbeauftragte oder Mitarbeitende, die das Gesetz vorsätzlich verletzen. Bei vorsätzlichem Verstoß ist Strafverfolgung möglich.
Wie unterscheidet sich das revDSG von der DSGVO?
Das revDSG ist eng an der DSGVO orientiert, hat aber wichtige Schweizer Besonderheiten: Bußgelder gegen Personen statt Unternehmen; keine strikte Pflicht zur Bestellung eines DSB (aber dringend empfohlen); spezifische Regeln zu Profiling und risikoreicher Datenverarbeitung. Wer DSGVO-konform ist, ist weitgehend dabei — aber Lücken bleiben.
Wir sind DSGVO-konform. Sind wir auch revDSG-konform?
Sie sind nahe dran, aber nicht vollständig abgedeckt. Das revDSG hat spezifische Anforderungen zu persönlicher Haftung, Meldung von Datenschutzverletzungen an den EDÖB, Datenschutzhinweisen und Datenübermittlungsregeln, die spezifisch nach Schweizer Recht geprüft werden müssen. ComplyOne identifiziert genau, welche Lücken bleiben.
Wer ist der EDÖB?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ist die Schweizer Aufsichtsbehörde für Datenschutz. Anders als EU-Datenschutzbehörden hat der EDÖB derzeit begrenzte direkte Sanktionsbefugnisse — die Durchsetzung erfolgt primär über Strafverfahren und Reputationsdruck.
Erfordert das revDSG einen Datenschutzbeauftragten?
Anders als die DSGVO verlangt das revDSG formal keinen Datenschutzbeauftragten (DSB). Unternehmen, die besonders sensible Daten bearbeiten oder Profiling mit hohem Risiko durchführen, sollten jedoch dringend eine Datenschutzberaterin/einen Datenschutzberater bestellen. Die Rolle ist freiwillig — sie zeigt aber gute Governance, kann das persönliche Haftungsrisiko reduzieren und wird zunehmend von Schweizer Großkunden und öffentlichen Stellen erwartet.
Wie behandelt das revDSG Profiling anders als die DSGVO?
Das revDSG führt spezifische Regeln für Profiling mit hohem Risiko ein — automatisierte Bearbeitung, die ein erhebliches Risiko für die Persönlichkeit oder Grundrechte einer Person darstellt. Solches Profiling erfordert in der Regel ausdrückliche Einwilligung, und Betroffene haben ein Widerspruchsrecht. In manchen Punkten strenger als die DSGVO — insbesondere bei automatisierten Entscheidungen mit erheblichen Auswirkungen ohne menschliche Prüfung.
Verwandte Compliance-Bereiche